IT-utstyr leveres med ubeskyttede persondata

DN om sikker sletting

Stikkprøver viser at datautstyr levert til gjenvinning ofte inneholder ubeskyttede persondata. DN har pratet om manglende sletting med ADs sikkerhetssjef Lene Zachariassen og administrerende direktør Geir Erik Lian.

«I en rekke stikkprøver foretatt av it-selskapet AD viser det seg at nesten alle pc-er levert til gjenvinning inneholder sensitive data. Kun unntaksvis er harddisken fjernet eller kryptert før utstyret blir kassert.»

Les DN-artikkelen her

Bøtenivået for brudd på bestemmelsene øker kraftig i mai 2018 gjennom innføringen av GDPR.

Fant sensitivt innhold uten bruk av gjenoppretingssoftware

«Ved den siste stikkprøven ble lagringsmediet i 12 pc-er sjekket. I tre pc-er var harddisken fjernet, men i de andre ni lå alt innhold tilgjengelig uten noen form for kryptering og kunne leses uhindret.

– Vi sjekker ikke alle detaljer i dataene, men kartlegger hvilke typer data som ligger på diskene. Som oftest finner vi full e-posthistorikk, brev, dokumenter og bilder, sier Zachariassen.»

AD ønsker en standard for sikker sletting

«Nøyaktig hvor mange som slettes sikkert før de gjenvinnes eller gis videre er vanskelig å kartlegge.

– Basert på vår kjennskap til markedet er det mindre enn halvparten, sier Geir Erik Lian, administrerende direktør i AD.

Sikker sletting har ingen offentlig definisjon i Norge, men bransjenormen er at sikker sletting betyr at dataene fjernes på en måte som gjør at de ikke kan gjenopprettes igjen. Dette krever spesialprogrammer. Vanlig sletting via papirkurven i Windows eller på en Mac er ikke sikker sletting.

– Vi kunne tenke oss å utfordre myndighetene til å utforme en standard for sikker sletting, sier Lian.»

Hva er sikker sletting?

Bøtelegging for å droppe sikker sletting
«Å unnlate å slette sensitive data på en sikker måte før man kasserer elektronisk utstyr er straffbart etter dagens regelverk for håndtering av personopplysninger.

– Bedrifter er ansvarlige for håndteringen av personopplysninger som ligger på bedriftens it-utstyr, for eksempel opplysninger om kunder eller de ansattes e-poster. Små overtramp sanksjoneres med pålegg om bedre rutiner, mens grovere overtramp kan bøtelegges. Vi kan gi overtredelsesgebyr på inntil 10G, sier Tobias Judin, juridisk rådgiver i Datatilsynet.

AD driver med såkalt Sisteleddssikkerhet, det vil si sikker sletting av data fra pc-er, nettbrett og smarttelefoner som blir kassert. De eies av Norsirk som er den største aktøren innen gjenvinning av elektronisk utstyr i Norge.

Kontakt oss for sikker avhending av datamaskiner, nettbrett og telefoner

Kanskje disse artiklene er nyttige for deg også?